Everscale钱包中的关键漏洞可能让攻击者窃取加密货币

web版本中发现了一个安全漏洞曾经冲浪如果成功将其武器化，攻击者可以完全控制受害者的钱包。

以色列网络安全公司Check Point在与《黑客新闻》共享的一份报告中表示：“通过利用该漏洞，可以解密存储在浏览器本地存储中的私钥和种子短语。”。“换句话说，攻击者可以完全控制受害者的钱包。”

Ever Surf是Everscale（前身为FreeTON）区块链的加密货币钱包，它还兼作跨平台messenger，允许用户访问分散的应用程序以及发送和接收不可替代代币（NFT）。据估计，该公司在全球拥有66.97万个账户。

通过恶意浏览器扩展或网络钓鱼链接等不同的攻击载体，该漏洞可以获取钱包的加密密钥和种子短语，这些密钥和短语存储在浏览器的本地存储中，然后这些密钥和短语就可以被简单地强制以虹吸资金。

鉴于本地存储中的信息未加密，恶意浏览器加载项或窃取信息的恶意软件可能会访问这些信息，这些恶意软件能够从不同的web浏览器中获取此类数据。

在负责任的披露之后，发布了一个新的桌面应用程序来取代易受攻击的web版本，后者现在被标记为已弃用，仅用于开发目的。

Check Point的Alexander Chailytko说：“拥有钥匙意味着完全控制受害者的钱包，从而控制资金。”。“使用加密货币时，您始终需要小心，确保您的设备没有恶意软件，不要打开可疑链接，更新操作系统和防病毒软件。”

“尽管我们发现的漏洞已在新的桌面版Ever Surf wallet中修补，但用户可能会遇到其他威胁，如分散应用程序中的漏洞，或欺诈和钓鱼等一般威胁。”